Ledger ConnectKit -kirjasto on vaarantunut viemärin kanssa, mikä aiheuttaa turvallisuusriskejä Web3 Sovellukset:
Lyhyesti
Ledgerin ConnectKit-kirjasto rikottiin, ja laillinen työkalu korvattiin tyhjennysohjelmalla, joka paljasti lukuisia Web3 sovellukset.
Tilassa tapahtui tietoturvaloukkaus Web3 sfääri, vaarantaa Ledger ConnectKit kirjasto, joka on ratkaisevan tärkeä Ledger Liven yhdistämisessä sovelluksiin. Tämä hakkerointi sisältää kirjaston korvaamisen "drainer"-skriptillä, mikä muodostaa vakavan uhan käyttäjien varoihin.
Vaarallinen paketti ConnectKit - lataa automaattisesti JavaScript-komentosarjan osoitteesta cdn.jsdelivr.net, joka sisältää tyhjennysohjelman, maailmanlaajuiseen laajuuteen.
Tämä tunkeutuminen teki tätä kirjastoa käyttävien sovellusten käyttöliittymästä haavoittuvan, erityisesti käyttäjän valtuutuksen jälkeen. Raportit osoittavat, että hyökkääjät ovat muuttaneet lompakon yhteyden modaaliikkunaa, mikä on vaarantanut kaikki lompakon omistajat, eivät vain Pääkirja Live.
🚨Olemme tunnistaneet ja poistaneet Ledger Connect Kitin haitallisen version. 🚨
- Ledger (@Ledger) Joulukuu 14, 2023
Aito versio työnnetään nyt korvaamaan haitallinen tiedosto. Älä ole vuorovaikutuksessa minkään dAppin kanssa tällä hetkellä. Pidämme sinut ajan tasalla tilanteen kehittyessä.
Ledger-laitteesi ja…
Ledgerin antamat varoitukset Turvallisuus
Merkittävät kryptovaluuttojen tietoturva-asiantuntijat, mukaan lukien banteg, ovat vahvistaneet Ledger-kirjaston kompromissin ja neuvovat välttämään vuorovaikutusta hajautettujen sovellusten kanssa (dApps), kunnes selvyyttä ilmenee. Haavoittuvuus näyttää vaikuttavan myös ledger connect-kit-loaderiin, koska se määrittelee riippuvuuden löyhästi.
Hyökkäys saattaa vaikuttaa useisiin osapuoliin, kuten näkyy luettelosta kirjastoista ja sovelluksista, joita se käyttää @ledgerhq/connect-kit. Ledgerin ehdotus käyttää connect-kit loaderia connect-kit-lataukseen pahentaa ongelmaa, sillä jopa kiinnitetyt latausohjelman versiot hakevat uusimman connect-kit-version, mikä johtaa laajaan tunkeutumiseen.
🚨 Reskontrakirjasto vahvistettiin vaarantuneen ja korvattu tyhjennysletkulla. odota vuorovaikutusta dappien kanssa, kunnes asiat selkenevät.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- Banteg (@bantg) Joulukuu 14, 2023
Hyökkääjät ovat onnistuneet vaarantamaan huomattavan määrän kirjastoja kohdistamalla vain liitäntäpakkauksen. Ledger tunnistaa version 1.1.4 viimeiseksi tunnetuksi turvalliseksi julkaisuksi, mutta pitää kaikki julkaisut 1.1.7 asti, jotka on julkaistu hyökkäyspäivänä, vaarantuneiksi.
Tämä tietoturvavälikohtaus korostaa vankkojen kyberturvallisuustoimenpiteiden kriittistä merkitystä nopeasti kehittyvässä Web 3.0-verkkotunnuksen, jossa edes vakiintuneet työkalut, kuten Ledgerin kirjasto, eivät ole immuuneja kehittyneille kyberhyökkäyksille.
Vastuun kieltäminen
Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.
Author
Nik on taitava analyytikko ja kirjailija Metaverse Post, joka on erikoistunut tarjoamaan huippuluokan näkemyksiä nopeatempoiseen teknologian maailmaan painottaen erityisesti AI/ML-, XR-, VR-, ketjun analytiikkaa ja blockchain-kehitystä. Hänen artikkelinsa houkuttelevat ja tiedottavat monipuoliselle yleisölle, mikä auttaa heitä pysymään teknologian kehityksen kärjessä. Taloustieteen maisterin tutkinnon suorittaneella Nikillä on vankka käsitys yritysmaailman vivahteista ja sen risteyksestä nousevien teknologioiden kanssa.
lisää artikkeleitaNik on taitava analyytikko ja kirjailija Metaverse Post, joka on erikoistunut tarjoamaan huippuluokan näkemyksiä nopeatempoiseen teknologian maailmaan painottaen erityisesti AI/ML-, XR-, VR-, ketjun analytiikkaa ja blockchain-kehitystä. Hänen artikkelinsa houkuttelevat ja tiedottavat monipuoliselle yleisölle, mikä auttaa heitä pysymään teknologian kehityksen kärjessä. Taloustieteen maisterin tutkinnon suorittaneella Nikillä on vankka käsitys yritysmaailman vivahteista ja sen risteyksestä nousevien teknologioiden kanssa.